如何通过执行 log4j 注入来执行远程代码 [关闭]

Posted

技术标签:

【中文标题】如何通过执行 log4j 注入来执行远程代码 [关闭]【英文标题】:how remote code execute by doing log4j injection [closed] 【发布时间】:2022-01-21 10:46:22 【问题描述】:

最新的 log4j 问题定义了可以进行日志注入远程代码执行,例如 JNDI。

但我的问题是如何在不知道类定义的情况下在其他机器上序列化对象执行(通过反序列化)?

【问题讨论】:

【参考方案1】:

当 dserialisation 发生时,JVM 会将该类加载到内存中。 在类加载时,Java 类加载器会查找所有静态字段和静态块,因此如果该类中存在任何static block,它将被执行。

【讨论】:

以上是关于如何通过执行 log4j 注入来执行远程代码 [关闭]的主要内容,如果未能解决你的问题,请参考以下文章

由log4j远程执行漏洞说起

Apache Log4j远程代码执行漏洞 | 风险漏洞提示

Apache Log4j远程代码执行漏洞 | 风险漏洞提示

Apache Log4j2远程代码执行漏洞复现

开源网安警示,Apache Log4j远程代码执行漏洞 | 风险漏洞提示

开源网安警示,Apache Log4j远程代码执行漏洞 | 风险漏洞提示